谁在偷窥打造Linux下入侵检测系统之二 - Linux & Advanced Application

社区导航: 专家门诊网络技术操作系统数据库程序设计系统应用考试认证 CIO及信息化站长交流综合交流下载基地 51CTO产品服务

【设为首页 | 收藏本站】

51CTO技术论坛» Linux & Advanced Application » 谁在偷窥打造Linux下入侵检测系统之二 [ 打印] [ 订阅] [ 收藏] [ 推荐给朋友] [ 本帖文本页]

论坛跳转:

流星☆

主版主

帖子 2158
精华 1
无忧币 6451
积分 3704
阅读权限 150
来自 (保密)

注册日期 2006-4-7

最后登录 2008-10-4

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-5-9 17:09　　标题：谁在偷窥打造Linux下入侵检测系统之二
＜上一帖 | 下一帖＞

配置snort规则自动更新
①    编写以下脚本:
#!/bin/sh
cd /etc/snort
wget http://www.snort.org/pub-bin/dow ... ot-CURRENT_s.tar.gz
tar zxvf snortrules-snapshot-CURRENT.tar.gz
exit 0
②    将以上内容保存为snortupdate.sh ,并用chmod a+x 给予其可执行权限.
③    将snortupdate.sh文件放到 /etc/cron.daily文件夹中,或者用 crontab -e 命令,在cron程序的配置文件中加入 “0 3 * * * snortupdate.sh文件存放路径”一行,让其每天3点自动执行一次更新脚本.
   解决guardian程序自动退出问题
      有时候guardian程序会自动退出,所以编写以下脚本
      #!/bin/bash
      /usr/local/bin/snort -d -D -h 10.10.0.0/24 -c /etc/snort.conf
/usr/bin/perl /usr/local/bin/guardian.pl -c /etc/guardian.conf
将其保存为可执行文件,放到 /etc/cron.hourly 文件夹中,让其每小时自动启动一次.

   说明:
      该IDS系统首先用snort来进行监控,并记录日志,然后通过 guardian 程序对日志文件进行分析,发现有恶意IP访问时自动将其转给iptables 并将拒绝其访问请求.所以需要iptables的支持,使用chkconfig --level 2345 iptables on 命令让iptables 自动启动.用 chkconfig --level 2345 crond on 设置cron 程序自动运行.snort的日志文件为 /var/log/snort/alert

      guardian需要perl语言的支持,需先安装perl语言.
▲    构建大型入侵检测系统
软件包:
mysql       下载地址: http://dev.mysql.com/
httpd       下载地址: http://mirrors.sirium.net/pub/apache/httpd/httpd-2.2.4.tar.gz
php       下载地址: http://cn2.php.net/
adodb       下载地址: http://nchc.dl.sourceforge.net/sourceforge/adodb/adodb494.zip
base       下载地址: http://sourceforge.net/project/showfiles.php?group_id=103348
注意：在该方案中mysql版本为5.0.37 ，PHP版本为 4.4.2 。

   ㈠  .搭建apache+php+mysql环境

安装mysql
说明:在安装mysql之前,建议用linux图形界面中的软件包管理工具删除掉系统原有的mysql数据库及其相关的所有程序
①    groupadd mysql
②    useradd -g mysql mysql
③    解压mysql安装包包,将解压出来的目录更名为mysql 并将整个目录移动到 /usr/local 下
④    cd /usr/local/mysql
⑤    scripts/mysql_install_db --user=mysql
⑥    chown -R root  .
⑦    chown -R mysql data
⑧    chgrp -R mysql .
⑨    bin/mysqld_safe --user=mysql &

注意:该命令是以mysql用户来启动数据库,并在后台运行,如果报告错误,可重启计算机后执行.
      安装apache(建议删除掉系统原有的httpd服务及其相关的软件包)

①    解压apache包
②    进入到解压出来的目录，执行以下配置命令
③    ./configure --prefix=/usr/local/apache2/ --enable-module=ssl --enable-module=so --enable-module=rewrite
④    执行上面命令的时候注意中途有没有报错，如果报错需要根据错误重新配置。
⑤    执行 make ; make install 编译安装

   安装PHP
①    切换到php目录，执行以下命令
②    ./configure --with-apxs2=/usr/local/apache2/bin/apxs --with-mysql=/usr/local/mysql
③    执行 make ; make install 编译安装
④    在当前目录下执行cp php.ini-dist /usr/local/lib/php.ini 命令来复制php配置文件。
⑤    vi /usr/local/apache2/conf/httpd.conf 文件，查找 LoadModule php4_module modules/libphp4.so 字段，如果没有则手动加到第53行附近。
⑥    在该文件的第305行下面加入 AddType application/x-httpd-php-source .phps
                           AddType application/x-httpd-php .php .phtml
⑦    保存退出，执行 /usr/local/apache2/bin/apachectl -t 命令检查apache配置文件的正确性，如果配置无误的话会提示 Syntax OK。
⑧    执行 /usr/local/apache2/bin/apachectl start 命令启动apache ，如果没有提示则表示启动成功。